Três falhas de execução remota
A Microsoft corrigiu três vulnerabilidades de execução remota de código no Outlook e Word, divulgadas em 9 de junho de 2026 como parte do Patch Tuesday. As falhas CVE-2026-45456, CVE-2026-45458 e CVE-2026-47635 possuem CVSS 8.4 e não exigem privilégios administrativos ou interação do usuário para exploração. A aplicação imediata das atualizações é recomendada.
As três vulnerabilidades afetam a forma como o Outlook e o Word processam objetos na memória. Com CVSS 8.4, complexidade de ataque baixa e sem necessidade de privilégios, essas falhas são atrativas para campanhas de phishing e ataques via documentos maliciosos. A Microsoft já havia corrigido um recorde de falhas recentemente, e este novo lote reforça a necessidade de manter os sistemas atualizados.
| CVE | Tipo | CVSS | Componente | Interação do usuário |
|---|---|---|---|---|
| CVE-2026-45456 | Type Confusion (CWE-843) | 8.4 | Outlook e Word | Nenhuma |
| CVE-2026-45458 | Use-After-Free (CWE-416) | 8.4 | Outlook e Word | Nenhuma |
| CVE-2026-47635 | Heap Buffer Overflow (CWE-122) | 8.4 | Outlook e Word | Nenhuma |
Como cada vulnerabilidade funciona
A CVE-2026-45456 é uma falha de confusão de tipos. Ocorre quando o Outlook ou o Word acessa recursos usando tipos de dados incompatíveis. Um documento especialmente elaborado pode corromper a memória durante o processamento de objetos, permitindo que o atacante execute código arbitrário no contexto do usuário logado.
A CVE-2026-45458 é uma vulnerabilidade use-after-free. Quando o aplicativo continua acessando memória já liberada, o comportamento se torna imprevisível. Documentos maliciosos podem manipular sequências de alocação e desalocação de memória para abrir caminho à execução de código. É um vetor valioso para comprometimento inicial em ataques direcionados.
A CVE-2026-47635 envolve um estouro de buffer no heap. Dados gravados além dos limites da memória alocada corrompem estruturas adjacentes. Com técnicas como heap spraying, atacantes podem sobrescrever regiões críticas da memória e obter execução de código. Embora classificadas como vetor de ataque local, as três falhas podem ser encadeadas em cenários onde o atacante convence a vítima a abrir um documento.
Risco para ambientes corporativos
A combinação dessas três falhas representa um risco elevado para organizações que dependem do ecossistema Microsoft Office. Documentos anexados a e-mails são o vetor mais provável de exploração. A ausência de necessidade de interação do usuário e a baixa complexidade do ataque amplificam o perigo, especialmente em ambientes onde o Outlook processa e-mails automaticamente no painel de visualização.
A Microsoft também corrigiu recentemente um zero-day ativo no Exchange, o que indica que seus produtos continuam sendo alvos prioritários de atacantes. Embora a Microsoft não tenha confirmado exploração ativa dessas três falhas no momento da divulgação, a natureza das vulnerabilidades as torna alvos atraentes para campanhas de spear-phishing.
Medidas de proteção urgentes
Aplique as atualizações de segurança do Patch Tuesday de junho de 2026 em todos os sistemas com Outlook e Word. Como mitigação complementar, desative o painel de visualização do Outlook para impedir o processamento automático de e-mails. Implemente filtragem avançada de anexos de e-mail, bloqueando arquivos do Office de fontes não confiáveis.
Monitore comportamentos anômalos de processos do Office, como tentativas de execução de código filho incomuns (powershell.exe, cmd.exe iniciados por winword.exe ou outlook.exe). Soluções de EDR podem detectar tentativas de exploração baseadas em padrões de acesso à memória. Priorize a atualização de estações de trabalho de usuários com acesso a dados sensíveis e de administradores de sistemas.